유출된 교육 영상과 새로운 증거는 인텔렉사가 단순한 불량 감시 업체가 아님을 드러낸다. 이 이스라엘 기업은 텔아비브의 글로벌 사이버전 인프라의 핵심 축으로 자리 잡고 있으며, ‘제로 클릭’ 방식, 광고 기반 감염, 권위주의 정부와의 은밀한 협력을 통해 전 세계의 휴대전화를 침투한다.
국제앰네스티가 새로 발표한 연구는 여러 대륙에서 대규모 감시와 인권 침해를 저질러온 이스라엘 연계 스파이웨어 기업 연합체 인텔렉사(Intellexa)의 핵심 작전을 폭로한다. 여기에는 스마트폰을 장악해 카메라 영상부터 암호화된 대화, GPS 위치 정보, 이메일까지 모두 빼내는 고침투성 도구인 ‘프레데터(Predator)’가 포함된다. 이는 법을 전혀 고려하지 않은 채 행동해온 이스라엘 연계 스파이웨어 업체의 또 하나의 최신 사례다. 그러나 앰네스티의 보고서는 이 측면에 초점을 맞추지 않았고 기술적 세부사항에만 국한해 다루면서, 법적 위반의 전체 규모를 상당 부분 가려버렸다. 인텔렉사는 세계에서 가장 악명 높은 ‘용병형 스파이웨어’ 판매업체 가운데 하나다. 2023년 이 회사는 자사에 대한 조사에 협조하지 않았다는 이유로 그리스 개인정보보호청으로부터 벌금을 부과받았다.
아테네에서 진행 중인 재판은 정부 각료, 고위 군 장교, 판사, 언론인의 휴대전화를 해킹한 사건에 인텔렉사의 핵심 관계자들과 현지 정보기관이 연루되어 있음을 시사한다. 국제앰네스티는 인텔렉사의 스파이웨어 활동을 폭로했지만, 이 회사의 설립자인 탈 딜리안(Tal Dilian)에 대한 배경은 제공하지 않았다. 그는 이스라엘군 정보기관 출신의 고위 요원이었고, 회사는 이와 같은 이스라엘 정보 활동 베테랑들로 구성되어 있다.
2024년 3월, 인텔렉사의 범죄적 활동에 관한 충격적인 폭로가 수년간 이어진 뒤, 미국 재무부는 딜리안과 그의 최측근 기업 협력자들, 그리고 인텔렉사와 연관된 다섯 개의 별도 상업 법인에 대해 광범위한 제재를 부과했다.
프레데터: 감시하고, 듣고, 빼내다
그러나 이러한 강경 조치에도 인텔렉사의 활동은 위축되지 않았다. 회사의 서비스는 시간이 지날수록 더 발전해 탐지가 더 어려워졌고, 표적 기기를 감염시키는 효과도 점점 커졌다. 그 표적은 대체로 시민사회 활동가, 인권운동가, 언론인들이다.
12월 3일, 구글은 인텔렉사의 표적이 최소한 “수백 명”에 이르며, 앙골라, 이집트, 카자흐스탄, 파키스탄, 사우디아라비아, 타지키스탄, 우즈베키스탄 등지의 개인들이 영향을 받았을 가능성이 있다고 밝혔다.
인텔렉사의 주력 도구인 프레데터는 ‘원클릭’과 ‘제로클릭’ 방식으로 표적 기기를 감염시키며, 온라인 광고를 통해서도 스스로를 심는다. 일단 설치되면 사진, 비밀번호, 메시지, 시그널·텔레그램·왓츠앱 대화, 마이크 녹음까지 조용히 약탈한다.
이렇게 탈취된 데이터는 익명화 서버들의 미로를 거쳐 고객에게 전달된다. 이 고객들은 대부분 권위주의 정부이며, 활동가와 언론인을 자주 표적으로 삼는다.
프레데터에는 설치 사실을 감추기 위한 독특한 기능도 여럿 포함돼 있다. 예를 들어 스파이 도구는 기기의 배터리 잔량과 SIM 데이터나 와이파이를 통한 인터넷 연결 여부를 평가한다. 이를 통해 네트워크나 전력이 눈에 띄게 소모되지 않도록 맞춤형 추출을 수행해 사용자의 의심을 피한다.
알라딘의 동굴
프레데터는 자신이 탐지됐다고 판단하면 흔적을 남기지 않도록 스스로 “자폭”하기도 한다. 인텔렉사가 악성 기술을 표적 기기에 설치하는 방식 또한 교묘하고 음험하다.
‘원클릭’ 공격 외에도 인텔렉사는 ‘제로클릭’ 침투 분야의 선구자다. 이 회사의 자원인 ‘알라딘’(Aladdin)은 인터넷 광고 생태계를 악용해 사용자가 광고를 클릭하지 않고 보기만 해도 기기가 감염되도록 한다.
이러한 광고는 신뢰받는 웹사이트나 앱에 나타나며, 사용자가 평소 보던 광고와 구분되지 않는다. 이를 위해 인텔렉사는 이메일 주소, 지리적 위치, IP 주소 같은 ‘고유 식별자’를 특정해 악성 광고를 정확히 노출해야 한다.
인텔렉사의 정부 고객들은 이러한 정보에 손쉽게 접근할 수 있어 표적화가 쉬워진다. 미국 사이버보안 기업 레코디드 퓨처(Recorded Future)가 발표한 연구에 따르면, 인텔렉사는 채용 공고 등 ‘미끼 광고’를 만들기 위해 전용 모바일 광고 회사를 비밀리에 설립해 왔다.
알라딘은 최소 2022년부터 개발됐으며 시간이 갈수록 더욱 정교해졌다. 더욱 우려스러운 점은, 인텔렉사만이 이 분야에서 활동하는 기업이 아니라는 사실이다. 국제앰네스티는 “광고 기반 감염 기법이 여러 용병형 스파이웨어 기업과 유사한 광고 정보수집(ADINT) 감염 시스템을 구축한 특정 정부들에 의해 적극적으로 개발·사용되고 있다”라고 지적한다.
디지털 광고 생태계가 아무것도 모르는 시민들의 휴대전화를 해킹하는 데 악용되고 있다는 사실은 시급한 업계 대응을 요구하지만, 아직 그런 조치는 나오지 않았다.
더 불안한 점은 유출된 인텔렉사 교육 영상이 이 스파이웨어 회사가 “고객의 활성 프레데터 시스템에 원격으로 접근해 모니터링할 수 있다”는 사실을 보여준다는 점이다. 즉, 고객이 누구를 감시하고 있는지, 어떤 사적 데이터를 빼내고 있는지를 실시간으로 들여다볼 수 있다는 뜻이다.
2023년 중반에 촬영된 영상은 강사가 상용 원격접속 소프트웨어인 팀뷰어(TeamViewer)를 통해 실제 배치된 프레데터 시스템에 직접 연결하는 장면으로 시작한다. 영상 내용은 인텔렉사가 최소 10개의 고객 시스템을 동시에 볼 수 있음을 시사한다.
영상에서 한 직원이 시험 환경에 접속하는 것인지 묻자, 강사는 실제 “고객 환경”에 접속하고 있다고 답한다.
이어 강사는 원격 연결을 시작하며, 인텔렉사 직원들이 사진, 메시지, IP 주소, 스마트폰 운영체제와 소프트웨어 버전 등 고객이 프레데터 피해자들로부터 수집한 고도의 민감 정보를 열람할 수 있음을 보여준다.
이 영상에는 인텔렉사 고객의 실제 표적을 상대로 한 ‘실시간’ 프레데터 감염 시도도 담긴 것으로 보인다. 카자흐스탄에 있는 한 개인을 겨냥한 감염 시도에 대한 상세 정보가 제시되며, 해당 인물이 무심코 클릭해 기기가 침투된 악성 링크도 함께 나온다.
또 다른 장면에서는 사용자를 속이기 위해 합법적인 카자흐스탄 언론 사이트를 흉내 낸 도메인들이 표시된다. 상징적으로 아브라함 협정에 합류할 예정인 중앙아시아 국가 카자흐스탄은 인텔렉사의 고객으로 확인됐으며, 현지 청년 활동가들은 과거 역시 이스라엘에서 육성된 악명 높은 페가수스(Pegasus) 스파이웨어의 표적이 된 바 있다.
화면 뒤에서 벌어지는 일: 불분명한 법적 책임과 외국의 개입
유출된 영상은 인텔렉사의 운영과 관련해 여러 심각한 우려를 제기한다. 무엇보다 이 어두운 디지털 감시 기업이 보안 문제로 오래전부터 논란이 된 팀뷰어를 사용해 고객 표적 정보에 접근했다는 점이다.
이는 회사의 인지 여부와 무관하게 누가 또 이 방대한 정보에 접근할 수 있는지라는 명백한 의문을 낳는다. 또한 교육 과정에서 이러한 접근이 고객의 승인을 받았는지, 최소한의 안전장치라도 마련됐는지는 전혀 드러나지 않는다.
결과적으로 인텔렉사의 감시 도구에 걸린 표적들은 자신도 모르는 사이 적대적 정부뿐 아니라 외국 감시 기업에까지 가장 민감한 비밀을 노출당하게 된다.
인텔렉사가 자사 기술이 고객에 의해 어떻게 사용되는지를 어느 정도 인지하고 있는지는 현재 그리스 법정에서 핵심 쟁점이다. 역사적으로 용병형 스파이웨어 기업들은 고객이 불법적으로 수집한 데이터에 자신들은 접근하지 못한다고 강변해 왔다. 국제앰네스티는 다음과 같이 밝혔다.
“인텔렉사가 고객의 활성 감시 작전을 들여다볼 수 있었을 가능성, 그리고 표적에 대한 기술적 정보를 볼 수 있었다는 사실은, 인텔렉사의 역할과 이 회사가 자사 제품을 통해 수행된 불법 감시에 대해 법적 또는 형사적 책임을 질 수 있는지에 관한 새로운 법적 질문을 제기한다.”
최근 인텔렉사에 대한 폭로는 전 세계에서 페가수스 사용이 불러일으킨 국제적 분노, 형사 수사, 수년간 이어진 소송과 유사한 역사적 국제 스캔들로 번질 모든 조건을 갖추고 있다.
그러나 사설 감시 도구의 확산과 고객에 의한 산업적 규모의 남용은 우발적인 결함이 아니라, 이스라엘이 사이버전 우위를 확보하려는 집요한 전략의 의도된 결과다. 2018년 이스라엘 총리 베냐민 네타냐후는 이렇게 자랑했다.
“사이버 보안은 협력을 통해 성장하며, 비즈니스로서의 사이버 보안은 엄청나다. 우리는 군 정보기관과 모사드, 신베트에 막대한 자금을 쏟아부었다. 그중 막대한 부분이 사이버 보안으로 전환되고 있다. 우리는 끝없는 안보 추구 속에서 엄청난 사업 기회가 있다고 본다.”
이 투자는 이스라엘 사회 거의 모든 영역에 스며들어 있다. 텔아비브의 여러 대학은 국가 지원을 받아 새로운 기술을 개발하고 차세대 사이버 스파이와 디지털 전사를 양성하며, 이들은 점령군의 무장 조직으로 편입된다.
군 복무를 마친 뒤 이들은 팔레스타인인을 상대로 실험된 동일한 괴물 같은 서비스를 민간 부문과 각국 정부에 제공하는 기업을 국내외에서 설립한다. 이 과정에는 어떠한 감독도, 이러한 도구가 악용되지 않으리라는 보장도 없다.
2023년 10월 7일 ‘알아크사 홍수 작전’의 성공을 가능하게 한 정보 실패는 이스라엘의 사이버보안 강국 이미지에 치명타를 입혔고, ‘스타트업 국가’ 브랜드를 무너뜨리며 외국인 투자가 급격히 붕괴하게 했다.
진정한 스캔들은 인텔렉사 같은 기업의 존재 그 자체가 아니다. 문제는 이들이 누리는 국제적 면책, 서방과의 협력 관계, 그리고 이스라엘의 사이버전을 전 세계로 수출하는 현실을 외면하는 각국 정부의 공모다.
[출처] Stalked in real time: Intellexa, the Israeli Predator in your pocket
[번역] 이꽃맘
- 덧붙이는 말
-
킷 클라렌버그(Kit Klarenberg)는 정보기관이 정치와 인식 형성에 어떤 역할을 하는지를 탐구해온 영국의 탐사 저널리스트다. 참세상은 이 글을 공동 게재한다.
